论文部分内容阅读
摘 要:电作为我国国民经济的基础产业,是一切电子设备正常运行的基础,也是电力部门工作重点。随着全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏.其影响和损失是十分巨大,电力系统信息网络安全是电力系统安全运行和对社会可靠供电的保障,同时,电力信息网络系统的网络安全问题显得日益重要。
关键词:电力信息;网络安全
中图分类号:TM0 文献标识码:A 文章编号:1009-0118(2011)-12-0-02
电力系统是一种比较复杂的网络系统,电力系统能安全可靠地运行,不仅使得电力系统正常运营和供应提供保障,杜绝安全隐患出现,给国家和人民造成损失,还为社会的稳定健康发展打下了基础。伴随着电力信息化步伐的不断迈进,国家有关部门开始给予电力安全建设中出现的信息安全问题高度重视。2003年,电力信息网络的安全运行被国家电网公司纳入电力的安全生产管理范畴,信息网络的安全管理被纳入电力安全生产的体系,同时国家电网公司实行了信息网络安全运行的监督管理制度和报表制度。国网公司于2009年组织开展了集中式信息系统容灾中心关键技术研究工作,形成了《信息系统容灾需求分析报告》、《信息系统容灾建设方案》、《数据级容灾技术实现方案》、《容灾通信和网络技术实现方案》、《容灾中心安全及运维方案建议》和《应用级容灾研究报告》等多项研究成果。为满足国家电网公司业务及信息化建设发展的需要。结合国内外容灾中心建设经验.从国家电网公司集约化发展要求出发。按照统一规划、同步建设原则,国家电网决定建设3个集中式信息系统容灾中心。总体建设目标分为3个阶段:第l阶段先建成A、B、C3个数据级容灾中心,完成各单位数据归集及存储级优化整合,实现数据级容灾:按照信息系统容灾的建设规划。第2阶段将于2012年实现应用级的容灾中心。第3阶段在未来实现集中式的数据中心,保证在发生灾难时,公司的关键数据能够得到保护。信息系统可以快速的恢复,以保证业务的连续运行。容灾中心的建设原则是:(1)符合国家电网公司统一的项目标准,实现容灾项目的规范化建设;(2)容灾中心的设计遵循目标架构设计,实现技术的标准化,保证设计的一致性;(3)遵循统一领导、统一组织、集中管控、分头实施的原则。
研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
一、电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面:(1)物理层面安全,环境安全,设备安全,介质安全;(2)网络层面安全,网络运行安全,网络传输安全,网络边界安全;(3)系统层面安全,操作系统安全,数据库管理系统安全;(4)应用层面安全,办公系统安全,业务系统安全,服务系统安全;(5)管理层面安全,安全管理制度,部门与人员的组织规则。
二、电力信息网络安全策略
电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记。防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其他转接设备要落实到人,进行严格管理。
(二)安全技术策略
为了达到保障信息安全的目的.要采取各种安全技术。其不可缺少的技术层措施如下:
1、防火墙技术
防火墙是用于将信任网络与非信任网络隔离的一种技术.它通过单一集中的安全检查点.强制实糟相应的安全策略进行检查.防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
2、病毒防护技术
为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件.在网关上安装基于网父的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略。在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。建立较完善的管理制度,才能有效的防止和控制病毒的侵害。针对在Intemet上,病毒肆虐,企业信息系统每天都有面临预测的可能,应用信息系统对电力行业系统安全解决方案提供了病毒防范方案,其技术特点是:企业级网络防毒;病毒库网络自动更新;管理简单有效。
3、拟局域网技术(VLAN技术)
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含l组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个IAN内的各工作站无须放置在同一物理空LAN里。既这些工作站不一定属于同一个物理IAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4、数据备份及容错方案对于企业来说,最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。应用信息系统对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案,包括磁带机、备份管理软件和存储区域网络在内的各种技术,具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构,使其可以支持包括SAN在内的各种网络备份技术;支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统;支持非结构化数据(如Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略,备份过程中,支持各种数据校验技术。另外,清华同方应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能,实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性,可根据电力企业业务的扩大,平滑扩展,保护已有投资。关于容错,该解决方案中的容错方案可实行实时监控,能自动后援切换,支持双机热备份和双机互备援等各种规划方式,具有伸缩能力强,对现有系统影响小,管理简单方便等特点。
5、安全审计技术
随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。
三、组织管理策略
网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。信息网络安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。据统计,在所有的计算机安全事件中,属于管理方面的原因比重高达70%以上。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。
(一)安全意识与安全技能
通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识。使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。
(二)安全策略与制度
电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全;没有法规,无从遵循信息安全的制度;没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
(三)安全组织与岗位
电力企业的组织体系应实行“统一组织、分散管理”的方式.建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作。使各级信息技术部门也因此会很好配合信息安全推行工作。
四、入侵检测技术
入侵检测系统(Intrusion Detection System,简称IDS)得到了广泛的应用。银行、电信、电力等行业都把入侵检测系统作为安全防护的必备措施进行了部署,我国政府更是要求涉密单位必须部署入侵检测系统,以发现来自外部的入侵和来自内部的异常行为并进行预警。但是,随着黑客技术的发展,网络攻击日益呈现集群化、自动化、复合式、快速化等特点。应对这些攻击,传统的能够起到的作用越来越受限制,不容易对应急响应体系的建设进行有效的支撑,从而不能形成“一盘棋”的预警体系。因此,必须降低系统面临的风险、增强应急响应能力,使入侵检测系统更好地支持应急响应。目前以天阗入侵检测与预警系统”就是典型代表。它能够与绝大多数知名品牌的防火墙、漏洞扫描系统、网管等其它安全产品进行联动,组成入侵防御系统(Intrusion Protection System,简称IPS)。为了提高IDS的可用性,提高对应急响应体系的支持力度,又着力加强了的安全防范及管理功能,提高对全局入侵行为的可视管理具有良好可视化、可控性、可管理性的新一代入侵检测系统被称为入侵管理系统(Intrusion Management System,简称IMS)。结合国家电网公司的业务实际,未来IMS网络将为国家电网公司带来如下更加丰富、更加灵活的业务体验。
总之,电力系统信息安全是一个系统的、全局的管理问题.我们应该用系统工程的观点、方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果.只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即信息安全应遵循整体安全性原则,根据规定的安全策略制定出合理的信息安全体系结构。这样才能真正做到整个系统的安全。
参考文献:
[1]刘海明.信息安全中的信息隐藏技术及其应用[J].科技信息,2009,(6).
[2]孙元章.电力系统安全经济综合控制理论与应用研究现状及发展趋势[J].中国科学基金,2002,(3).
[3]刘克剡.计算机网络系统的安全管理与实施策略[J].中南民族学院学报(自然科学版),2008.
[4]袁慧.电力行业网络敏感信息过滤的研究与实现[J].电力信息,2010,(11).
关键词:电力信息;网络安全
中图分类号:TM0 文献标识码:A 文章编号:1009-0118(2011)-12-0-02
电力系统是一种比较复杂的网络系统,电力系统能安全可靠地运行,不仅使得电力系统正常运营和供应提供保障,杜绝安全隐患出现,给国家和人民造成损失,还为社会的稳定健康发展打下了基础。伴随着电力信息化步伐的不断迈进,国家有关部门开始给予电力安全建设中出现的信息安全问题高度重视。2003年,电力信息网络的安全运行被国家电网公司纳入电力的安全生产管理范畴,信息网络的安全管理被纳入电力安全生产的体系,同时国家电网公司实行了信息网络安全运行的监督管理制度和报表制度。国网公司于2009年组织开展了集中式信息系统容灾中心关键技术研究工作,形成了《信息系统容灾需求分析报告》、《信息系统容灾建设方案》、《数据级容灾技术实现方案》、《容灾通信和网络技术实现方案》、《容灾中心安全及运维方案建议》和《应用级容灾研究报告》等多项研究成果。为满足国家电网公司业务及信息化建设发展的需要。结合国内外容灾中心建设经验.从国家电网公司集约化发展要求出发。按照统一规划、同步建设原则,国家电网决定建设3个集中式信息系统容灾中心。总体建设目标分为3个阶段:第l阶段先建成A、B、C3个数据级容灾中心,完成各单位数据归集及存储级优化整合,实现数据级容灾:按照信息系统容灾的建设规划。第2阶段将于2012年实现应用级的容灾中心。第3阶段在未来实现集中式的数据中心,保证在发生灾难时,公司的关键数据能够得到保护。信息系统可以快速的恢复,以保证业务的连续运行。容灾中心的建设原则是:(1)符合国家电网公司统一的项目标准,实现容灾项目的规范化建设;(2)容灾中心的设计遵循目标架构设计,实现技术的标准化,保证设计的一致性;(3)遵循统一领导、统一组织、集中管控、分头实施的原则。
研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
一、电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面:(1)物理层面安全,环境安全,设备安全,介质安全;(2)网络层面安全,网络运行安全,网络传输安全,网络边界安全;(3)系统层面安全,操作系统安全,数据库管理系统安全;(4)应用层面安全,办公系统安全,业务系统安全,服务系统安全;(5)管理层面安全,安全管理制度,部门与人员的组织规则。
二、电力信息网络安全策略
电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记。防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其他转接设备要落实到人,进行严格管理。
(二)安全技术策略
为了达到保障信息安全的目的.要采取各种安全技术。其不可缺少的技术层措施如下:
1、防火墙技术
防火墙是用于将信任网络与非信任网络隔离的一种技术.它通过单一集中的安全检查点.强制实糟相应的安全策略进行检查.防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
2、病毒防护技术
为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件.在网关上安装基于网父的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略。在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。建立较完善的管理制度,才能有效的防止和控制病毒的侵害。针对在Intemet上,病毒肆虐,企业信息系统每天都有面临预测的可能,应用信息系统对电力行业系统安全解决方案提供了病毒防范方案,其技术特点是:企业级网络防毒;病毒库网络自动更新;管理简单有效。
3、拟局域网技术(VLAN技术)
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含l组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个IAN内的各工作站无须放置在同一物理空LAN里。既这些工作站不一定属于同一个物理IAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4、数据备份及容错方案对于企业来说,最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。应用信息系统对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案,包括磁带机、备份管理软件和存储区域网络在内的各种技术,具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构,使其可以支持包括SAN在内的各种网络备份技术;支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统;支持非结构化数据(如Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略,备份过程中,支持各种数据校验技术。另外,清华同方应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能,实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性,可根据电力企业业务的扩大,平滑扩展,保护已有投资。关于容错,该解决方案中的容错方案可实行实时监控,能自动后援切换,支持双机热备份和双机互备援等各种规划方式,具有伸缩能力强,对现有系统影响小,管理简单方便等特点。
5、安全审计技术
随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。
三、组织管理策略
网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。信息网络安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。据统计,在所有的计算机安全事件中,属于管理方面的原因比重高达70%以上。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。
(一)安全意识与安全技能
通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识。使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。
(二)安全策略与制度
电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全;没有法规,无从遵循信息安全的制度;没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
(三)安全组织与岗位
电力企业的组织体系应实行“统一组织、分散管理”的方式.建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作。使各级信息技术部门也因此会很好配合信息安全推行工作。
四、入侵检测技术
入侵检测系统(Intrusion Detection System,简称IDS)得到了广泛的应用。银行、电信、电力等行业都把入侵检测系统作为安全防护的必备措施进行了部署,我国政府更是要求涉密单位必须部署入侵检测系统,以发现来自外部的入侵和来自内部的异常行为并进行预警。但是,随着黑客技术的发展,网络攻击日益呈现集群化、自动化、复合式、快速化等特点。应对这些攻击,传统的能够起到的作用越来越受限制,不容易对应急响应体系的建设进行有效的支撑,从而不能形成“一盘棋”的预警体系。因此,必须降低系统面临的风险、增强应急响应能力,使入侵检测系统更好地支持应急响应。目前以天阗入侵检测与预警系统”就是典型代表。它能够与绝大多数知名品牌的防火墙、漏洞扫描系统、网管等其它安全产品进行联动,组成入侵防御系统(Intrusion Protection System,简称IPS)。为了提高IDS的可用性,提高对应急响应体系的支持力度,又着力加强了的安全防范及管理功能,提高对全局入侵行为的可视管理具有良好可视化、可控性、可管理性的新一代入侵检测系统被称为入侵管理系统(Intrusion Management System,简称IMS)。结合国家电网公司的业务实际,未来IMS网络将为国家电网公司带来如下更加丰富、更加灵活的业务体验。
总之,电力系统信息安全是一个系统的、全局的管理问题.我们应该用系统工程的观点、方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果.只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即信息安全应遵循整体安全性原则,根据规定的安全策略制定出合理的信息安全体系结构。这样才能真正做到整个系统的安全。
参考文献:
[1]刘海明.信息安全中的信息隐藏技术及其应用[J].科技信息,2009,(6).
[2]孙元章.电力系统安全经济综合控制理论与应用研究现状及发展趋势[J].中国科学基金,2002,(3).
[3]刘克剡.计算机网络系统的安全管理与实施策略[J].中南民族学院学报(自然科学版),2008.
[4]袁慧.电力行业网络敏感信息过滤的研究与实现[J].电力信息,2010,(11).